사이버아크, AI 시대 ‘머신-인간’의 아이덴티티 보안 과제 담은 리포트 발표
“AI, 특권적이고 민감한 접근 권한 통해 신 아이덴티티 생성 가장 많이 주도할 것”
[테크월드뉴스=이광재 기자] AI 시대를 맞아 기업들이 아이덴티티(통합 신원) 관리 체계가 중요해지고 있다. 이런 가운데 ‘머신 아이덴티티’가 인간 아이덴티티보다 82배나 많은 것으로 조사됐다. 즉 접근 권한을 보유한 머신 아이덴티티가 급증하며 기업들의 위험도 커지고 있다는 것이다
이에 사이버아크는 에이전틱 AI(Agentic AI) 도입이 활발해지고 있는 만큼 중요 시스템 및 민감한 정보의 접근 관리를 위해 ‘아이덴티티 보안’의 중요성이 매우 크다고 밝혔다.
사이버아크는 9월3일 기업들이 AI와 클라우드 활용 확대로 인해 의도치 않게 새로운 아이덴티티 중심 공격 표면을 어떻게 만들고 있는지를 보여주는 글로벌 연구 내용 중심의 ‘2025년 아이덴티티 보안 환경 리포트(2025 Identity Security Landscape)’를 발표했다.
![최장락 사이버아크 이사가 사이버아크의 ‘2025 아이덴티티 환경’ 보고서에 대해 발표하고 있다. [제공=사이버아크]](https://cdn.epnc.co.kr/news/photo/202509/321913_327004_2837.jpg)
이 보고서는 500명 이상의 직원을 고용한 민간 및 공공 부문 조직을 대상으로 설문 및 연구를 진행한 결과를 토대로 작성됐으며 시장 조사 전문업체 밴슨 본(Vanson Bourne)이 2600명의 사이버 보안 의사 결정권자를 대상으로 한 조사가 진행됐다.
보고서는 머신 아이덴티티가 대부분 조직 내에서 알려지지 않고 통제되지 않고 있다는 것을 보여주고 있으며 반면 에이전틱 AI(Agentic AI) 도입의 주요 장애물은 외부 조작 및 민감한 정보 접근과 관련된 보안 문제를 포함하고 있어 새롭고 강력한 아이덴티티 보안 과제의 출현을 예고했다.
보고서에 따르면 클라우드와 AI를 중심으로 구동되는 머신 아이덴티티는 이제 조직 내 인간 아이덴티티를 크게 앞지르고 있으며 약 40%는 민감한 정보 또는 특권이 있는 접근 권한을 보유하고 있었다. 그러나 많은 기업이 중요 시스템에 대한 인간과 머신의 접근 모두를 보안이 부족한 상태로 방치하고 있었다.
보고서는 특히 아시아태평양(이하 아태) 지역에서 조직 내 모든 인간에게 82개의 머신 아이덴티티가 존재하는 것으로 나타났다. 또 올해 인간 및 머신 아이덴티티(대부분 특권 접근 권한 보유)가 2배 증가할 것으로 예상됐다.
이와 함께 아택 지역 조직의 89%에서 ‘특권 사용자’의 정의는 오직 인간 아이덴티티에만 적용됐지만 머신 아이덴티티의 39%는 특권 접근 권한 또는 민감한 접근 권한을 보유하고 있는 것으로 파악됐다.
뿐만 아니라 응답자의 82%는 지난 12개월 동안 피싱 공격으로 인한 아이덴티티 중심 침해를 경험했다고 했으며 올해 아태 지역 조직의 사이버 보안 지출을 견인할 것으로 예상되는 상위 3가지 요인으로 AI·거대언어모델(LLM)·툴 도입(59%), 보안 운영-위협 탐지 및 대응(48%), 제로 트러스트 및 아이덴티티 보안 도입(39%)이 꼽혔다.
보고서는 “AI와 LLM의 승인 여부와 관계없이 도입되는 것은 조직을 변화시키는 동시에 사이버 보안 위험을 증폭시키고 있다”며 “AI 에이전트의 등장과 이들의 특권적 접근에 대한 우려는 아이덴티티 보안에 초점을 맞춘 투자의 시급성을 강조한다”고 설명했다.
보고서에 의하면 아태 지역 기업의 69%는 AI에 대한 아이덴티티 보안 제어 기능을 갖추고 있지 않았으며 AI는 올해 특권 및 민감한 접근 권한이 있는 새로운 아이덴티티 생성을 가장 많이 창출할 것으로 예상됐다.
또 아태 지역 응답자의 46%는 조직에서 섀도우 AI(Shadow AI) 사용에 대해 보호할 수 없다고 했으며 AI 에이전트 도입의 걸림돌에는 조작 및 민감한 접근 권한에 대한 우려가 포함됐다.
보고서는 “단편화된 아이덴티티 보안 프로그램과 열악한 환경 가시성은 진화하는 사이버 보안 위협에 대한 복원력을 약화시키고 있다”며 “대부분의 조직은 특권 관련 규정 준수 압박이 심화되는 상황에 직면해 있다”고 강조했다.
이에 아태 지역 보안 전문가의 76%는 조직이 강력한 사이버 보안보다 비즈니스 효율성을 우선시한다는 데 동의했으며 조직의 88%는 보험사의 특권 제어 강화 요구로 인해 점점 더 압력을 받고 있는 것으로 조사됐다.
클라렌스 힌튼(Clarence Hinton) 사이버아크 CSO(Chief Strategy Officer)는 “AI를 기업 환경에 도입하려는 경쟁은 의도치 않게 관리되지 않고 보안이 취약한 머신 아이덴티티 접근을 중심으로 새로운 아이덴티티 보안 위험을 초래했으며 AI 에이전트의 특권적 접근은 완전히 새로운 위협 벡터가 될 것”이라며 “복원력을 유지하기 위해 CISO와 보안 리더는 특권적 접근을 가진 아이덴티티의 급증과 아이덴티티 사일로의 손상으로 더욱 악화되는 새롭게 확장되는 공격 표면에 맞서 싸우기 위해 아이덴티티 보안 전략을 현대화해야 한다”고 밝혔다.
이날 보고서를 발표한 최장락 사이버아크 이사는 “내부 조직 내에서 사용하는 머신 AI를 포함해 모든 형태의 아이덴티티를 중앙에서 통합하고 보안을 강화해야 한다”고 말했다.
한편 사이버아크는 이런 문제를 해결하기 위해 아이덴티티 거버넌스 관리(IGA) 기업 질라시큐리티를 인수해 사람과 머신 ID 관리 기능을 강화했다. 또 머신 ID 관리 및 인증서 수명 주기 관리 기능을 제공하는 베나파이를 인수해 인증서 장애로 인한 서비스 중단을 예방하고 있다.
그래도 삭제하시겠습니까?